Vous n'êtes pas identifié(e).
L'icône rouge permet de télécharger chaque page du wiki visitée au format
PDF et la grise au format ODT →
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente Prochaine révision Les deux révisions suivantes | ||
utilisateurs:hypathie:tutos:proxy-transparent [17/10/2014 17:09] Hypathie [Vérifications] |
utilisateurs:hypathie:tutos:proxy-transparent [18/10/2014 06:19] Hypathie [configuration d'iptables (NAT)] |
||
---|---|---|---|
Ligne 8: | Ligne 8: | ||
===== Introduction ===== | ===== Introduction ===== | ||
Voir : [[http://www.squid-cache.org/|le site de squid]]\\ | Voir : [[http://www.squid-cache.org/|le site de squid]]\\ | ||
- | [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]] | + | [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|proxy transparent]]\\ |
+ | Voir aussi : [[http://www.sput.nl/software/squid33.html]]\\ | ||
+ | [[http://www.linux-france.org/prj/edu/archinet/systeme/ch40s02.html]] | ||
Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. | Lorsqu'un serveur mandataire est installé, on configure souvent le routage du réseau pour que l'utilisateur final soit orienté vers le serveur mandataire sans avoir à modifier sa configuration. On parle alors de « proxy transparent ». Cette configuration est obtenue par translation d'adresse IP. | ||
Ligne 33: | Ligne 36: | ||
* contrôle d'accès en fonction des heures. | * contrôle d'accès en fonction des heures. | ||
Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe... | Néanmoins un proxy transparent permettra de ne rien avoir à configurer dans le navigateur du client qui "ignorera" qu'il passe par un proxy quand il navigue. Cela place donc hors sujet la question l'accès par login et mot de passe... | ||
- | |||
- | <note important> | ||
- | Avant toute modification du fichier /etc/squid3/squid.conf\\ | ||
- | il faut arrêter squid : | ||
- | <code root>/etc/init.d/squid3 stop</code> | ||
- | |||
- | Puis quand on a fait les modifications souhaitées, on le redémarre : | ||
- | <code root>/etc/init.d/squid3 start</code> | ||
- | </note> | ||
===Faire une sauvegarde du fichier de configuration === | ===Faire une sauvegarde du fichier de configuration === | ||
Ligne 267: | Ligne 261: | ||
<note> | <note> | ||
- | Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement :\\ | + | Si pour une raison ou pour une autre, il y a besoin de ré-initialiser le cache, par exemple si la taille de mémoire cache ne convient pas, ne pas hésiter à supprimer ces fichiers manuellement, ou tout simplement si on veut le vider complètement :\\ |
+ | * Il faut arrêter squid : | ||
+ | <code root>/etc/init.d/squid3 stop</code> | ||
+ | |||
+ | * On se déplace dans le répertoire du cache : | ||
(S'il vous plaît servez-vous de l'auto-complétion, surtout ici) | (S'il vous plaît servez-vous de l'auto-complétion, surtout ici) | ||
<code root>cd /var/spool/squid3/</code> | <code root>cd /var/spool/squid3/</code> | ||
+ | |||
+ | * On supprime tous les dossiers | ||
<code root>rm -rv 0*</code> | <code root>rm -rv 0*</code> | ||
- | <code root>rm -rv swap.state*</code> | + | |
+ | * On supprime les fichiers | ||
+ | <code root>rm -v swap.state*</code> | ||
+ | |||
+ | * On relance squid3 : | ||
+ | <code root>/etc/init.d/squid3 start</code> | ||
</note> | </note> | ||
+ | |||
+ | |||
Ligne 291: | Ligne 298: | ||
-p tcp --dport 80 -j REDIRECT --to-port 3128 | -p tcp --dport 80 -j REDIRECT --to-port 3128 | ||
iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24\ | iptables -t nat -I PREROUTING 1 -i eth1 -s 192.168.1.0/24\ | ||
- | -p tcp -m tcp --dport 80 -J ACCEPT | + | -p tcp -m tcp --dport 80 -j ACCEPT |
</code> | </code> | ||
Ligne 320: | Ligne 327: | ||
<note> | <note> | ||
- | Pour mangle, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : | + | **Pour mangle**, une petite citation extrait du [[http://wiki.squid-cache.org/ConfigExamples/Intercept/LinuxDnat|site officiel de squid]] : |
Due to the NAT security vulnerabilities it is also a very good idea | Due to the NAT security vulnerabilities it is also a very good idea | ||
Ligne 327: | Ligne 334: | ||
so that intercepted traffic does not get dropped. | so that intercepted traffic does not get dropped. | ||
- | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** | + | **Par contre, concernant les deux interfaces, il faut lancer les commandes iptables pour le DNAT sur l'interface côté lan, et sur l'IP du serveur proxy du réseau côté web.** |
</note> | </note> | ||
Ligne 397: | Ligne 404: | ||
</note> | </note> | ||
- | * Voir le fichier /var/log/squid3/cache.log | + | ====Vérifier le cache==== |
+ | ===Voir le fichier /var/log/squid3/cache.log=== | ||
On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\ | On trouve dans ce fichier beaucoup d’informations allant du nombre de descripteurs de fichiers ouverts jusqu’à la mémoire allouée. Il est possible de se référer à la documentation officielle pour obtenir plus de détails sur ce fichier.\\ | ||
- | Par exemple ci-dessous les DNS enregistrés : | + | |
+ | * Par exemple ci-dessous les DNS enregistrés : | ||
<code>2014/10/16 13:11:45| Process ID 3735 | <code>2014/10/16 13:11:45| Process ID 3735 | ||
2014/10/16 13:11:45| With 65535 file descriptors available | 2014/10/16 13:11:45| With 65535 file descriptors available | ||
Ligne 413: | Ligne 423: | ||
2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | 2014/10/16 13:11:45| Unlinkd pipe opened on FD 13<...></code> | ||
- | ====Les pages web visitées et le cache==== | ||
- | ===== Utilisation ===== | + | |